(inseguro es una columna semanal que profundiza en el tema de la ciberseguridad, en rápida escalada.
¿Qué pasaría si volvieras a tu habitación de hotel y descubrieras que faltaba tu computadora portátil? ¿Qué pasaría si no hubiera rastro de un intruso, ni entrada forzada, ni evidencia de que se hubiera entrado en la habitación? La empresa de seguridad F-Secure se enfrentó a esa pregunta y su respuesta fue simple: descubra cómo para hacer posible lo imposible. Descubre cómo ser un fantasma.
F-seguro anunciado esta semana que había descubierto una vulnerabilidad masiva que afectaba a millones de cerraduras electrónicas en todo el mundo. El exploit permitiría a cualquiera entrar en una habitación de hotel sin ser detectado y sin dejar rastro. Nos sentamos con los investigadores que descubrieron el exploit, Timo Hirvonen y Tomi Tuominen, para hablar sobre los eventos que llevaron a su descubrimiento y cómo esta hazaña puede haber hecho que su próxima estadía en el hotel sea muy importante más seguro.
Una noche en Berlín
"La historia comienza en 2003, cuando asistíamos a una conferencia de hackers en Berlín, Alemania", dijo Tomi Tuominen, líder de práctica de F-seguro. “Cuando regresamos al hotel, notamos que le habían robado la computadora portátil a nuestro amigo de su habitación, y este era un hotel agradable. Notificamos al personal y realmente no nos tomaron en serio porque habían mirado el registro y no había señales de entrada o entrada forzada”.
“Eso nos hizo pensar: ¿cómo era posible que alguien pudiera entrar a la habitación del hotel literalmente sin dejar rastro alguno?
Ese robo, añade Timo Hirvonen, consultor senior de seguridad de F-Secure, fue el primer paso hacia el descubrimiento de una vulnerabilidad crítica. vulnerabilidad en uno de los sistemas de cerraduras electrónicas más populares del mundo: la cerradura Assa Abloy Vision VingCard sistema.
“Nuestro amigo estaba haciendo algunas cosas bastante interesantes en aquellos días, definitivamente una razón para que alguien levantara su computadora portátil. Eso nos hizo pensar, está bien, ¿cómo es posible que alguien haya podido entrar a la habitación del hotel literalmente sin dejar rastro alguno? Dijo Tuominen.
Durante los siguientes quince años, Tomi, Timo y el resto del equipo de F-Secure trabajaron en el exploit como un proyecto paralelo. Sin embargo, se apresuran a señalar que lo que clamaban por resolver no era tanto un problema intratable como por mucho que fuera un rompecabezas, un pasatiempo en el que trabajaron más por curiosidad que por un impulso para descifrar el sistema VingCard.
“Algunas personas juegan al fútbol, otras juegan al golf, y nosotros simplemente hacemos... este tipo de cosas”, dijo Tuominen riendo.
Como puede imaginar, después de dedicar tanto tiempo y energía a encontrar una manera de eludir la seguridad del sistema VingCard, quedaron extasiados cuando encontraron la respuesta. Sin embargo, no fue solo un momento de "Ajá", el exploit se fue armando en pedazos, pero cuando lo probaron por primera vez y funcionó en una cerradura de hotel real, el equipo de F-Secure supo que tenían algo especial en su manos.
“Fue bastante sorprendente, estoy bastante seguro de que chocamos los cinco. Hubo éxitos menores antes de eso, pero cuando las piezas finalmente se unieron por primera vez”, dijo Tuominen. “Cuando nos dimos cuenta de cómo convertir esto en un ataque práctico que solo lleva unos minutos, pensamos que sí, esto iba a suceder. Fuimos a un hotel real y lo probamos y funcionó, y fue bastante alucinante”.
la llave maestra
Muy bien, entonces, ¿cómo funciona este ataque? Bueno, F-Secure no entró en detalles por razones de seguridad, pero sí cómo funciona. en la práctica es, como dijo Tuominen, alucinante. Comienza con un pequeño dispositivo que cualquiera puede adquirir en línea y, una vez que el equipo de F-Secure carga su firmware en Con el dispositivo, podrían entrar a cualquier hotel usando el sistema VingCard y tener acceso con llave maestra en cuestión de minutos.
“Podríamos viajar en ascensor con un huésped, si el huésped tuviera una llave en el bolsillo, podríamos leer la llave a través del bolsillo con nuestro dispositivo. Luego simplemente caminamos hacia cualquiera de las puertas y normalmente en menos de un minuto podemos encontrar la llave maestra”.
“Solo lleva unos minutos. Por ejemplo, podríamos viajar en ascensor con un huésped, si el huésped tuviera una llave en el bolsillo, podríamos leer la llave a través del bolsillo con nuestro dispositivo. Luego simplemente caminamos hasta cualquiera de las puertas y normalmente en menos de un minuto podemos encontrar la llave maestra”, explicó Hirvonen.
El ataque funciona leyendo primero cualquier tarjeta del hotel en el que quieren entrar, incluso si está caducada o simplemente es la tarjeta de un huésped habitual. Esa parte se puede hacer de forma remota, como explicó Tuominen, leyendo la información que necesitan directamente de su bolsillo.
Luego, sólo es cuestión de tocar con el dispositivo una de las cerraduras electrónicas del hotel el tiempo suficiente para que adivine el código de la llave maestra basándose en la información de la tarjeta que leyó por primera vez. No es sólo una elusión total de un sistema de cerradura electrónica, sino que también es un ataque práctico que utiliza hardware disponible en el mercado.
“Es un dispositivo pequeño, el hardware se llama Proxmark, es algo disponible públicamente, puedes comprarlo online por unos cientos de euros. El dispositivo es bastante pequeño, cabe fácilmente en la mano y tiene aproximadamente el tamaño de un encendedor”, explicó Tuominen.
Afortunadamente, F-Secure está razonablemente seguro de que este exploit no se ha utilizado de forma habitual. La solución es bastante novedosa y una vez que supieron que tenían un ataque reproducible en sus manos, inmediatamente contactaron al fabricante Assa Abloy para informarles.
“Fue a principios de 2017 cuando logramos crear la llave maestra por primera vez. E inmediatamente después de descubrir que teníamos esta capacidad, contactamos a Assa Abloy. Los conocimos cara a cara por primera vez en abril de 2017. Explicamos nuestros hallazgos y explicamos el ataque, y desde entonces hemos estado trabajando juntos para solucionar estas vulnerabilidades”, dijo Tuominen. “Al principio pensaron que podrían arreglar las vulnerabilidades ellos mismos, pero cuando arreglaron la vulnerabilidad y nos enviaron las versiones arregladas, también las rompimos varias veces seguidas. Hemos estado trabajando junto con ellos desde entonces”.
¿Deberías estar preocupado?
Si tiene planeadas unas vacaciones de verano, o si es un viajero frecuente, quizás se pregunte: ¿es esto algo de lo que deba preocuparse? Probablemente no. F-Secure y Assa Abloy han estado trabajando mano a mano para entregar parches de software a los hoteles afectados.
“[Assa Abloy] anunció los parches a principios de 2018, por lo que ya llevan algunos meses disponibles. Tienen un sitio web del producto donde puedes registrarte y descargar los parches de forma gratuita”, explicó Tuominen. "Es un parche solo de software, pero primero debe actualizar el software de backend y luego debe ir a todas y cada una de las puertas y actualizar el firmware de esa puerta o cerradura manualmente".
Por lo tanto, probablemente no necesites estar atento a las cerraduras electrónicas de la marca Assa Abloy la próxima vez que estés en un hotel. Los parches han estado disponibles desde principios de año y, según F-Secure, no hay ningún parche. razón para creer que este exploit en particular se ha utilizado en la naturaleza, fuera de sus propias pruebas de curso. Este es un punto que Assa Abloy se apresura a reiterar en su declaración oficial. restando importancia al truco.
Aún así, nunca está de más ser cauteloso, por lo que si viaja con dispositivos electrónicos caros o sensibles, asegúrese de llevarlos consigo o físicamente asegurados en la caja fuerte de su habitación de hotel. Es importante recordar que esta no será la última vez que un sistema de cerradura electrónica se vea comprometido de esta manera. Tenemos suerte de que fuera F-Secure quien encontrara esta vulnerabilidad. Es posible que otras empresas, individuos o incluso gobiernos no sean tan comunicativos.
